Во «ВКонтакте» произошел массовый взлом. Inc. узнал, как это могло случиться
Вечером 14 февраля пользователи «ВКонтакте» начали получать личные сообщения, в которых была указана ссылка. При переходе по ней на всех страницах, которыми управляет пользователь, появлялись одинаковые записи.
В записи, размещенной хакерами от имени пользователя, говорилось, что якобы во «ВКонтакте» появилась реклама в личных сообщениях. Все записи сопровождались сообщениями с орфографическими ошибками.
Куратор направления информационной безопасности школы HackerU Алексей Гришин объяснил Inc., каким образом произошел массовый взлом соцсети и как хакерам удалось публиковать посты от имен пользователей.
Алексей Гришин
Куратор направления информационной безопасности школы HackerU
«У “ВКонтакте” есть специальный раздел для статей. И там не проверяется возможность интеграции в текст страницы JS скриптов. Злоумышленник написал вредоносный скрипт, который исполнялся на стороне пользователя. И от его имени публиковал аналогичный вирусный контент. Таким образом, получился вирус для социальной сети, базирующийся на уязвимости Stored XSS. Задача скрипта, как любого вируса, — распространяться, — так он и сделал. Почему скрипт мог действовать от имени пользователя? Когда скрипт выполняется в браузере пользователя, то ему доступны данные браузера. А в своих данных браузер хранит токен, то есть ключ для подключения к функции “ВКонтакте”. Используя токен, можно совершать запросы так, будто их сделал пользователь страницы. В первую очередь инфицировались группы, так был достигнут массовый охват».
Пресс-служба «ВКонтакте» сообщила, что уязвимость устранена.